computer 版 (精华区)

发信人: neverbw (汇编汇编我爱你！), 信区: network
标  题: 木马综述篇：通通透透看木马(2)
发信站: 听涛站 (2001年10月14日22:49:41 星期天), 站内信件

木马入侵的常用手法及清除方法
　　虽然木马程序千变万化，但正如一位木马组织的负责人所讲，大多数木马程序没有
特别的功能，入侵的手法也差不多，只是以前有关木马程序的重复，只是改了个名而已
，现在他们都要讲究效率，据说他们要杜绝重复开发，浪费资源。当然我们也只能讲讲
以前的一些通用入侵手法，因为我们毕竟不是木马的开发者，不可能有先知先觉。
1、在win.ini文件中加载
　　一般在win.ini文件中的[windwos]段中有如下加载项：
run=　　 load= ，一般此两项为空，如图1所示。
图1
　　如果你发现你的系统中的此两项加载了任何可疑的程序时，应特别当心，这时可根
据其提供的源文件路径和功能进一步检查。我们知道这两项分别是用来当系统启动时自
动运行和加载程序的，如果木马程序加载到这两个子项中之后，那么当你的系统启动后
即可自动运行或加载了。当然也有可能你的系统之中确是需要加载某一程序，但你要知
道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的
文件名或者参数，这个文件名也往往用你常见的文件，如command.exe、sys.com等来伪
装。
2、在System.ini文件中加载
　　我们知道在系统信息文件system.ini中也有一个启动加载项，那就是在[BOOT]子项
中的“Shell”项，如图2所示。
图2
　　在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪
装成几乎与原来的一样，只需稍稍改"Explorer”的字母“l”改为数字“1”，或者把其
中的“o”改为数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前
面所讲的欺骗性。当然也有的木马不是这样做的，而是直接把“Explorer”改为别的什
么名字，因为他知道还是有很多朋友不知道这里就一定是“Explorer”，或者在“Expl
orer”加上点什么东东，加上的那些东东肯定就是木马程序了。
3、修改注册表
　　如果经常研究注册表的朋友一定知道，在注册表中我们也可以设置一些启动加载项
目的，编制木马程序的高手们当然不会放过这样的机会的，况且他们知道注册表中更安
全，因为会看注册表的人更少。事实上，只要是”Run\Run-\RunOnce\RunOnceEx\ RunS
ervices \RunServices-\RunServicesOnce 等都是木马程序加载的入口，如[HKEY_LOCA
L_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run或\RunOnce]，如图3所
示；
图3
　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或Ru
nOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]，如图4所示。
图4
　　你只要按照其指定的源文件路径一路查过去，并具体研究一下它在你系统这中的作
用就不难发现这些键值的作用了，不过同样要注意木马的欺骗性，它可是最善于伪装自
己呵！同时还要仔细观察一下在这些键值项中是否有类似netspy.exe、空格、.exe或其
它可疑的文件名，如有则立即删除。
4、修改文件打开关联
　　木马程序发展到了今天，他们发现以上的那些老招式不灵了，为了更加隐蔽自己，
他们所采用隐蔽的手段也是越来越高明了（不过这也是万物的生存之道，你说呢？），
它们采用修改文件打开关联来达到加载的目的，当你打开了一个已修改了打开关联的文
件时，木马也就开始了它的运作，如冰河木马就是利用文本文件（.txt）这个最常见，
但又最不引人注目的文件格式关联来加载自己，当有人打开文本文件时就自动加载了冰
河木马。
　　修改关联的途经还是选择了注册表的修改，它主要选择的是文件格式中的“打开”
、“编辑”、“打印”项目，如冰河木马修改的对象如图5所示，
图5
　　如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
中的键值不是“c:\windows\notepad.exe %1”，而是改为“sysexplr.exe %1”。
　　以上所介绍的几种木马入侵方式，如果发现了我们当然是立即对其删除，并要立即
与网络断开，切断黑客通讯的途径，在以上各种途径中查找，如果是在注册表发现的，
则要利用注册表的查找功能全部查找一篇，清除所有的木马隐藏的窝点，做到彻底清除
。如果作了注册表备份，最好全部删除注册表后再导入原来的备份注册表。
　　在清除木马前一定要注意，如果木马正在运行，则你无法删除其程序，这时你可以
重启动到DOS方式然后将其删除。有的木马会自动检查其在注册表中的自启动项，如果你
是在木马处于活动时删除该项的话它能自动恢复，这时你可以重启到DOS下将其程序删除
后再进入Win9x下将其注册表中的自启动项删除。

--
   
       欢迎访问   ftp://neverbw.dhs.org
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]